Парламент собирается рассматривать поправки по персональным данным. Эксперты объяснили, что может помешать их реализации

Осенью депутаты парламента будут рассматривать законопроект по внесению изменений в законодательные акты по вопросам защиты персональных данных. Документ находился в сфере внимания правозащитников с начала года и с их подачи трижды претерпел ряд значимых изменений. Вторая волна изменений в законопроекте связана с процессом его согласования в госорганах. Экспертам остается лишь догадываться, в каком виде документ предстанет перед мажилисменами.

Пока поправки вновь не представили широкой общественности, независимая Экспертная группа по цифровым правам проанализировала их с точки зрения прав на доступ к информации, справедливое судебное разбирательство и свободы интернета. Специалисты обнаружили несколько причин для сомнений в эффективной правоприменительной практике предлагаемых норм.  

Из поправок исключена норма, наделяющая управление по защите персональных данных функцией госконтроля

По действующему законодательству управление по защите персональных данных комитета информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) вправе возбуждать административные дела и привлекать к ответственности виновных в нарушении закона о защите персональных данных. Ниже — казахстанский образец согласия на сбор и обработку персональных данных от одного из работающих в стране банков.

согласие-на-сбор-и-обработку-персональных-данных

Поправки должны были наделить ведомство еще и функцией госконтроля — она позволила бы специалистам планово и внепланово проверять интернет-ресурсы и компании на предмет законности сбора, обработки и распространения персональных данных, а также выносить предписания при выявлении нарушений. 

«К сожалению, эту норму нам не согласовали, и нам пришлось её убрать», — сообщил экспертам Адилетхан Кабдеш, руководитель управления по защите персональных данных. Он объяснил, к чему это приведет на практике: «Если гражданин сообщит нам, что вот здесь незаконно собирают его данные, но у него нет доказательств, мы не сможем выйти с проверкой на оператора, собственника и выяснить, законно ли он собрал, обработал персональные данные».

Эксперты подтверждают важность наличия такой функции: «Без работающего инструмента защиты прав государству практически невозможно дать гарантии человеку на защиту его персональных данных в интернете», — подчеркивает Елжан Кабышев, директор ОФ «Digital Paradigm». Однако чтобы расширенные компетенции не способствовали ограничению свободы интернета, специалисты советовали ограничивать доступ только к тем сайтам, которые действительно нарушили законодательство о персональных данных и их защите, и только по заявлениям потерпевших лиц. 

Верховный суд намерен вывести себя из-под действия поправок

Это означает, что судьи хотят сохранить статус-кво. Роман Реймер, соучредитель Общественного Фонда «Еркіндік қанаты», описывает его так: «В Казахстане действующее правовое регулирование деятельности судебной системы в первую очередь устанавливает примат принципа гласности в ущерб праву на приватность отдельного гражданина, и, более того, выводит деятельность судов из-под действия национального законодательства о персональных данных и их защите».

«Законодательством на сегодня не предусмотрено ни внутреннего, ни внешнего контроля за деятельностью судов в части сбора, обработки и распространения персональных данных», — дополняет коллегу Татьяна Чернобиль, юрист-консультант по международному праву в области прав человека. Обязательства по защите персональных данных из судебных актов в республике несут третьи лица, которые их используют или распространяют. Именно они по закону должны анонимизировать личную информацию, которая находится в открытом доступе в Банке судебных актов. 

Специалисты рекомендуют Верховному суду по опыту европейских стран разработать собственный правовой и технический инструментарий защиты персональных данных.

Скриншот финского сервиса для автоматической и полуавтоматической анонимизации судебных решений

В противном случае Арсен Аубакиров, координатор Экспертной группы по цифровым правам и директор ОФ «Human Rights Consulting Group», опасается, что другие госорганы тоже захотят вывести себя из-под действия поправок: «В итоге получится, что закону будут подчиняться, скажем, Минсельхоз, который в принципе не работает с большим объемом персональных данных, и само МЦРИАП. Это большой риск». 

В казахстанских законах нет четкого определения такого понятия как «персональные данные ограниченного доступа»

Авторы поправок предлагают отнести к информации ограниченного доступа, чей перечень содержит закон «О доступе к информации», и «персональные данные ограниченного доступа». МЦРИАП понимает под этим данные, которые связаны с физическим лицом, то есть, например, сочетаются с его именем-фамилией. У министерства внутренних дел тоже есть на этот счет разъяснения, но в них никакая связка с субъектом персональных данных не оговаривается. 

Изменение уровня терпимости к критике и уровня защиты репутации (на основе анализа практики ЕСПЧ по ст. 10 Конвенции)

«Персональные данные бывают общедоступные и ограниченного доступа, — говорит Гульмира Биржанова, юрист «Правового медиа-центра». — Это нормальная практика. Но с учетом того, что в Казахстане нет конкретизации, что относится к персональным данным ограниченного доступа, эта норма на практике может вызвать проблемы».

Основная из них выглядит так: журналист, руководствуясь законом «О персональных данных», запрашивает у госоргана необходимую информацию, а чиновник отказывает со ссылкой на обновленный закон «О доступе к информации».

Для справки: В мировой практике не принято разрабатывать и пользоваться неким перечнем персональных данных, доступ к которым может быть ограничен. Страны, разделяющие персональные данные на общедоступные и ограниченного доступа, действуют скорее от обратного — закрепляют в законодательствах, какие персональные данные НЕ могут относиться к информации с ограниченным доступом. Так, например, в украинском законе о персональных данных указано, что данные не могут считаться конфиденциальными, если они касаются человека, уполномоченного на выполнение функций госуправления. Российский закон, в свою очередь, подчеркивает, что общедоступными персональными данными считаются те, на распространение которых их владелец дал свое согласие.  

«Должны быть определенные условия, когда этот режим секретности может быть нарушен», — уверена Биржанова. Эксперт считает, что журналистам законодательно нужно дать право получать персональные данные ограниченного доступа по запросу, если это необходимо в их работе и представляет общественный интерес. Последнее понятие тоже давно стоит закрепить в законе, например, в качестве «потребности общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде».

Власти недостаточно взаимодействуют с обществом и бизнесом в части защиты персональных данных

«Один из основных столпов по цифровым правам — это мультистейкхолдеровский подход. Подход, учитывающий мнение, позицию и представленность всех заинтересованных сторон: государства, бизнеса и гражданского общества», — говорит Арсен Аубакиров. На данный момент взаимодействие между основными участниками не носит системный характер. Уполномоченный орган по защите персональных данных — управление по защите персональных данных комитета информационной безопасности МЦРИАП — коммуницирует со всеми по отдельности.

Выходом из ситуации видится совет по защите персональных данных, необходимость создания которого закреплена в рассматриваемых поправках. Эта структура должна, во-первых, служить межведомственному взаимодействию, и во-вторых, выполнять роль консультативно-совещательной площадки, где представители гражданского общества могли бы представлять свою позицию по правам человека.

Первый предложенный МЦРИАП проект совета экспертов не слишком устроил: в составе были представлены не все госорганы, работающие с персональными данными, и наблюдался заметный количественный перевес в сторону чиновников.

Кроме этого, информационная открытость профильного министерства в области защиты персональных данных тоже оставляет желать лучшего. «Должно быть больше информированности населения. Как мы видим по текущей ситуации, возникает очень много сложностей в этом плане из-за закрытости, недостаточности информации или недостаточно доступного её изложения», — заключает координатор Экспертной группы по цифровым правам.

Внесите свой вклад в борьбу с дезинформацией!
Маргарита Бочарова
Журналист-аналитик. Магистр социальных наук